CSP-kwetsbaarheid in Edge wordt niet gedicht
Microsoft is niet van plan een kwetsbaarheid in de webbrowser Edge te dichten. Het gaat om een kwetsbaarheid waarmee aanvallers de Content Security Policy (CSP) die is ingesteld door een webserver kunnen omzeilen, wat ertoe kan leiden dat vertrouwelijke informatie van gebruikers kan worden onderschept.
Dit meldt de Talos Security Intelligence and Research Group van Cisco. CSP is een mechanisme dat is ontworpen om Cross Site Scripting aanvallen tegen te gaan door servers te whitelisten die als legitieme bronnen gebruikt mogen worden voor de client side webapplicatie code. Onderzoekers van de Cisco hebben echter een manier gevonden om de CSP te omzeilen. Hierbij wordt gebruik gemaakt van een kwaadaardige webpagina die specifiek is geschreven voor een specifieke webbrowser.
‘Serieus probleem’
“Informatie disclosure kwetsbaarheden zijn wellicht niet zo serieus als kwetsbaarheden die de aanvaller in staat stellen op afstand code uit te voeren en aan de browser sandbox te ontsnappen om toegang te krijgen tot en controle over het aangevallen systeem”, schrijft Talos op zijn blog. “XSS aanvallen die een aanvallen in staat stellen vertrouwelijke data te onderscheppen en zelfs een gebruikersaccount over te nemen worden gezien als een serieus probleem. CSP is specifiek ontworpen met het oog op het voorkomen van XSS-aanvallen en stelt de server in staat vertrouwde bronnen die veilig uitgevoerd kunnen worden door een webbrowser te whitelisten.”
Talos wijst erop dat veel ontwikkelaars op CSP vertrouwen om hen te beschermen tegen XSS en andere aanvallen waarbij data kan uitlekken, en erop vertrouwen dat webbrowsers de standaard vertrouwen. De implementatie van CSP binnen verschillende webbrowsers varieert echter en stelt in sommige gevallen aanvallers in staat browserspecifieke code te schrijven om de CSP te omzeilen en de bron van de toegestane code zelf te definiëren.
Meerdere webbrowsers zijn kwetsbaar
De kwetsbaarheid in kwestie is aangetroffen in:
- Google Chrome tot versie 57.0.2987.98 - (CVE-2017-5033)
- iOS tot versie 10.3 - (CVE-2017-2419)
- Apple Safari tot versie 10.1 - (CVE-2017-2419)
- Microsoft Edge
Google en Apple hebben de kwetsbaarheid inmiddels gedicht. Microsoft stelt echter dat de kwetsbaarheid onderdeel is van het ontwerp van Edge en wil het beveiligingslek dan ook niet dichten. Talos adviseert gebruikers een webbrowser te kiezen die het CSP mechanisme volledig ondersteund en waarin alle nieuw ontdekte beveiligingslekken zijn verholpen, inclusief deze nieuw ontdekte kwetsbaarheid.
Dossiers
Meer over
Lees ook
België nog lang niet cyberveilig, volgens ITU-onderzoek
Tijdens het International Cyber Security Strategy (ICSS) Congres in Leuven gunde Roberto Tavano, security expert bij Unisys, het aanwezige publiek een inkijk in de resultaten van een onderzoek van de International Telecommunication Union (ITU). Opvallendste conclusie: België scoort bijzonder matig in dit onderzoek: Europees zijn ze slechts 22ste e1
Nieuwe Amerikaanse overheidsdienst moet informatiedeling van cyberdreigingen optimaliseren
Een nieuwe overheidsdienst gaat zich in de Verenigde Staten specifiek richten op digitale dreigingen. De dienst wordt tussen andere overheidsdiensten waaronder inlichtingendiensten geplaatst en moet gaan zorgen dat informatie optimaal wordt gedeeld. Dit moet helpen cyberdreigingen eerder te identificeren. De nieuwe dienst heet het Cyber Threat Int1